首页 > 代码库 > Spring MVC服务器端防止重复提交

Spring MVC服务器端防止重复提交

实现机制是使用token,简单说下:

(a)进入下单页,会生成一个token,同时存在两个地方:session(或redis也可以)和页面

(b)提交时,服务器接收到页面的token后,会和session中的token比较,相同则允许提交,同时删除session中的token;

(c)如果重复提交,则session中已经没有token(已被步骤b删除),那么校验不通过,则不会真正提交.

拦截器代码:下载

Java代码  

  1. package com.chanjet.gov.filter;  

  2.   

  3. import org.apache.log4j.Logger;  

  4. import org.springframework.web.method.HandlerMethod;  

  5. import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;  

  6.   

  7. import javax.servlet.http.HttpServletRequest;  

  8. import javax.servlet.http.HttpServletResponse;  

  9. import java.lang.reflect.Method;  

  10. import java.util.UUID;  

  11.   

  12. /** 

  13.  * Created by 黄威 on 9/20/16.<br > 

  14.  *     防止下单页重复提交 

  15.  */  

  16. public class RepeatTokenInterceptor  extends HandlerInterceptorAdapter {  

  17.     private static Logger log = Logger.getLogger(RepeatTokenInterceptor.class);  

  18.     @Override  

  19.     public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {  

  20.         if (handler instanceof HandlerMethod) {  

  21.             HandlerMethod handlerMethod = (HandlerMethod) handler;  

  22.             Method method = handlerMethod.getMethod();  

  23.             RepeatSubmitToken annotation = method.getAnnotation(RepeatSubmitToken.class);  

  24.             if (annotation != null) {  

  25.                 boolean needSaveSession = annotation.save();  

  26.                 if (needSaveSession) {  

  27.                     request.getSession(true).setAttribute("repeattoken", UUID.randomUUID().toString());  

  28.                 }  

  29.                 boolean needRemoveSession = annotation.remove();  

  30.                 if (needRemoveSession) {  

  31.                     if (isRepeatSubmit(request)) {  

  32.                         log.warn("please don‘t repeat submit,url:" + request.getServletPath());  

  33.                         response.sendRedirect("/warn.html?code=repeatSubmitOrder&orgId="+request.getParameter("orgId"));  

  34.                         return false;  

  35.                     }  

  36.                     request.getSession(true).removeAttribute("repeattoken");  

  37.                 }  

  38.             }  

  39.             return true;  

  40.         } else {  

  41.             return super.preHandle(request, response, handler);  

  42.         }  

  43.     }  

  44.   

  45.     private boolean isRepeatSubmit(HttpServletRequest request) {  

  46.         String serverToken = (String) request.getSession(true).getAttribute("repeattoken");  

  47.         if (serverToken == null) {  

  48.             return true;  

  49.         }  

  50.         String clinetToken = request.getParameter("repeattoken");  

  51.         if (clinetToken == null) {  

  52.             return true;  

  53.         }  

  54.         if (!serverToken.equals(clinetToken)) {  

  55.             return true;  

  56.         }  

  57.         return false;  

  58.     }  

  59. }  

 

但是--

如果打开两个标签页,则这两个页面分别有一个token,并且是不同的(理论上是不同的),但是session中只有一份,

其中一个提交后,就会删除session中的token,那么另外一个页面提交时session中的token已为空,那么一定校验不通过.

根本原因:

在同一时刻,session中只存了一份token,而页面上可能有多个token(有n个页签,就会有n个不同的token).

 

既然找到了根本原因,那么也就自然而然产生了解决方案.

思路:session中不能只存储一份token,而是支持存储多个token

具体技术方案:下载

(1)每次进入下单页都会产生一个新的token,这个token都进入两个数据流:

--(a)传到页面,key是repeattoken

前端页面引用方式:

Html代码  下载

  1. <input type="hidden" name="repeattoken" value="${Session.repeattoken!}" >  

 

 

--(b)存储到session(现在是增量,不会把原来的token替换掉)

(2)存储到session中的key应该与页面的key区分开来,使用"tokenpool"

优化之后的过滤器:下载

Java代码  

  1. package com.chanjet.gov.filter;  

  2.   

  3. import com.chanjet.gov.util.StringUtil;  

  4. import org.apache.log4j.Logger;  

  5. import org.springframework.web.method.HandlerMethod;  

  6. import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;  

  7.   

  8. import javax.servlet.http.HttpServletRequest;  

  9. import javax.servlet.http.HttpServletResponse;  

  10. import javax.servlet.http.HttpSession;  

  11. import java.lang.reflect.Method;  

  12. import java.util.UUID;  

  13.   

  14. /** 

  15.  * Created by 黄威 on 9/20/16.<br > 

  16.  *     防止下单页重复提交 

  17.  */  

  18. public class RepeatTokenInterceptor  extends HandlerInterceptorAdapter {  

  19.     /*** 

  20.      * 用于前端页面接收服务器端的token 

  21.      */  

  22.     public static final String SESSION_KEY_REPEATTOKEN="repeattoken";  

  23.     /*** 

  24.      * 用于session存储n个token 

  25.      */  

  26.     public static final String SESSION_KEY_REPEATTOKEN_POOL = "tokenpool";  

  27.     private static Logger log = Logger.getLogger(RepeatTokenInterceptor.class);  

  28.   

  29.     private void addRepeatToken(HttpServletRequest request, HttpServletResponse response){  

  30.         HttpSession httpSession = request.getSession(true);  

  31.         String token = (String) httpSession.getAttribute(SESSION_KEY_REPEATTOKEN_POOL);  

  32.         System.out.println("addRepeatToken token:"+token);  

  33.         String createdToken = UUID.randomUUID().toString();  

  34.         httpSession.setAttribute(SESSION_KEY_REPEATTOKEN, createdToken);//给前端页面用的  

  35.         if(StringUtil.isNullOrEmpty(token)){  

  36.             httpSession.setAttribute(SESSION_KEY_REPEATTOKEN_POOL, createdToken);  

  37.         }else{  

  38.             httpSession.setAttribute(SESSION_KEY_REPEATTOKEN_POOL, createdToken + "###" + token);  

  39.         }  

  40.     }  

  41.     private void removeRepeatToken(HttpServletRequest request, HttpServletResponse response){  

  42.         HttpSession httpSession = request.getSession(true);  

  43.         String token = (String) httpSession.getAttribute(SESSION_KEY_REPEATTOKEN_POOL);  

  44.         System.out.println("removeRepeatToken token:"+token);  

  45.         if(!StringUtil.isNullOrEmpty(token)){  

  46.             String clientToken = (String) request.getParameter(SESSION_KEY_REPEATTOKEN);  

  47.             System.out.println("removeRepeatToken serverToken:"+clientToken);  

  48.             if (clientToken == null) {  

  49.                 return;  

  50.             }  

  51.             token = token.replace(clientToken, "").replace("######""###");  

  52.             System.out.println("token:"+token);  

  53.             httpSession.setAttribute(SESSION_KEY_REPEATTOKEN_POOL, token);  

  54.         }  

  55.     }  

  56.     @Override  

  57.     public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {  

  58.         if (handler instanceof HandlerMethod) {  

  59.             HandlerMethod handlerMethod = (HandlerMethod) handler;  

  60.             Method method = handlerMethod.getMethod();  

  61.             RepeatSubmitToken annotation = method.getAnnotation(RepeatSubmitToken.class);  

  62.             if (annotation != null) {  

  63.                 boolean needSaveSession = annotation.save();  

  64.                 if (needSaveSession) {  

  65.                     addRepeatToken(request,response);  

  66.                 }  

  67.                 boolean needRemoveSession = annotation.remove();  

  68.                 if (needRemoveSession) {  

  69.                     if (isRepeatSubmit(request)) {  

  70.                         log.warn("please don‘t repeat submit,url:" + request.getServletPath());  

  71.                         response.sendRedirect("/warn.html?code=repeatSubmitOrder&orgId="+request.getParameter("orgId"));  

  72.                         return false;  

  73.                     }  

  74.                     removeRepeatToken(request,response);  

  75.                 }  

  76.             }  

  77.             return true;  

  78.         } else {  

  79.             return super.preHandle(request, response, handler);  

  80.         }  

  81.     }  

  82.   

  83.     private boolean isRepeatSubmit(HttpServletRequest request) {  

  84.         //从池子里面获取token  

  85.         String serverToken = (String) request.getSession(true).getAttribute(SESSION_KEY_REPEATTOKEN_POOL);  

  86.         if (serverToken == null||"###".equals(serverToken)) {  

  87.             return true;  

  88.         }  

  89.         String clinetToken = request.getParameter(SESSION_KEY_REPEATTOKEN);//请求要素  

  90.         if (StringUtil.isNullOrEmpty(clinetToken)) {  

  91.             return true;  

  92.         }  

  93.         System.out.println("clinetToken:"+clinetToken);  

  94.         if (!serverToken.contains(clinetToken)) {  

  95.             return true;  

  96.         }  

  97.         return false;  

  98.     }  

  99. }  

  日志:

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

removeRepeatToken token:c171f626-f218-4d19-bbb8-7aa209523c69###1b50afdf-df24-4553-89d2-701af06a431e

removeRepeatToken serverToken:1b50afdf-df24-4553-89d2-701af06a431e

token:c171f626-f218-4d19-bbb8-7aa209523c69###

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:03,379  WARN RepeatTokenInterceptor:70 - please don‘t repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:03,546  WARN RepeatTokenInterceptor:70 - please don‘t repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:03,751  WARN RepeatTokenInterceptor:70 - please don‘t repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:03,919  WARN RepeatTokenInterceptor:70 - please don‘t repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:04,129  WARN RepeatTokenInterceptor:70 - please don‘t repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:04,370  WARN RepeatTokenInterceptor:70 - please don‘t repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:04,476  WARN RepeatTokenInterceptor:70 - please don‘t repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:04,703  WARN RepeatTokenInterceptor:70 - please don‘t repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:04,874  WARN RepeatTokenInterceptor:70 - please don‘t repeat submit,url:/order/submitOrder

submit


Spring MVC服务器端防止重复提交